¿Es seguro almacenar los SSN en Azure Cloud?

Navega tus respuestas
11

Estoy haciendo la diligencia debida en una empresa. Están totalmente basados en la nube y necesitan recopilar mucha información personal de los usuarios (incluido el SSN). ¿Es esto algo en lo que debería estar más preocupado? Dicen que están usando cifrado, y Azure es una plataforma segura. No estoy familiarizado con qué tan seguro y confiable es el almacenamiento en la nube actualmente, y cuán complejo es de configuración y mantenimiento. Si el almacenamiento en la nube está bien para estos datos con las precauciones adecuadas, ¿hay alguna pregunta que deba hacer sobre este tema?

    
pregunta Tyler Perkins 10.04.2016 - 02:52
fuente

2 respuestas

18

Dado el estado actual de la nube pública, yo diría que en muchos casos es más seguro que el almacenamiento en las instalaciones. De acuerdo, trabajo para Microsoft, pero mi opinión es anterior a mi empleo y se extiende a competidores como Amazon y Google también. Las compañías cuyos modelos de negocios se basan en la experiencia operativa y la excelencia del centro de datos, simplemente siempre serán mejores y funcionarán y protegerán sus activos que las empresas que ven la TI y los datos simplemente como un costo que debe controlarse estrictamente.

Dicho esto, definitivamente hay un par de cosas que me gustaría echar un vistazo.

  • ¿Cómo están cifrando los datos? Es fácil equivocarse en el cifrado, y con los datos estructurados como SSN y con un dominio tan pequeño, hacerlo incorrectamente podría dar lugar a una violación importante de la confidencialidad.

  • ¿Cómo gestionan el acceso? Para esto, debe observar no solo quién tiene acceso a través de la aplicación y las máquinas, sino que, desde una perspectiva específica de Azure, ¿quién tiene acceso a los grupos de recursos y la suscripción?

  • Gestión de claves. Azure ofrece almacenamiento de claves basado en HSM. Para datos significativamente confidenciales, debe asegurarse de que estén usando un depósito de claves protegido por HSM.

respondido por el Xander 10.04.2016 - 03:34
fuente
2

Para agregar a la respuesta de Xander, hay algunas cosas a considerar:

  • política de la compañía
  • multi-tenancy de IaaS, PaaS y SaaS
  • Gestión de claves
  • postura actual de seguridad interna

Política de la empresa

Algunas compañías están de acuerdo con * aaS, algunas empresas dicen que un cierto nivel de PII está bien para almacenar off-prem sin cifrado, o que requieren cifrado para un cierto nivel, y dicen que por encima de ese nivel, no hay almacenamiento off-prem. Si la compañía no tiene esas políticas, anímelas a que las obtengan.

Multi-tenancy

Multi-tenancy, o que aloja a múltiples clientes en la plataforma o en el espacio de red. Esto facilita el giro y la detección del tráfico.

Algunos proveedores le darán una instancia dedicada si está dispuesto a pagar un poco (o mucho) extra.

Gestión de claves

Como mencionó Xander, algunos proveedores (Amazon y Microsoft lo hacen con seguridad, no sé sobre Google, aunque supongo que sí) ofrecen un HSM para la administración de claves. ¿La empresa confía en el código SEE en el HSM? ¿Está la empresa dispuesta a proporcionar la clave para cifrar y descifrar datos significativos de identidad? ¿Puede la empresa controlar el código SEE?

postura de seguridad de la compañía

¿Esta empresa tiene un proceso de administración de proveedores maduro? ¿Proceso de respuesta a incidentes? ¿Qué pasa si uno de estos proveedores es violado? ¿El equipo de IR de la empresa tiene la capacidad de trabajar con el proveedor? ¿Se mantendrá al proveedor en un contrato para notificar a la compañía en caso de una falla detectada? ¿Se reenviarán los registros a una solución de monitoreo de registros de la empresa? ¿Se monitorea y mantiene esa solución de monitoreo de registros? ¿Tiene la compañía un programa de pruebas y revisión de seguridad maduro?

Estas son preguntas que deben formularse y responderse más allá de "¿es seguro?" porque las políticas, la postura de seguridad y el entorno del proveedor tienen un impacto que "es seguro?" mucho.

    
respondido por el h4ckNinja 10.04.2016 - 09:56
fuente

Lea otras preguntas en las etiquetas

He encontrado el código de ataque de JavaScript. ¿Cómo busco información sobre las características específicas del exploit? Autentificación de la cuadrícula de LastPass vs Google Authenticator, ¿cuál es más seguro?